Hier, 18 août 2020, l’équipe de Wordfence Live a couvert 10 erreurs de sécurité WordPress que vous pourriez commettre. Cet article de blog compagnon passe en revue les recommandations que nous avons fournies pour éviter ces erreurs et mieux sécuriser votre environnement WordPress.

Vous pouvez regarder la vidéo de Wordfence Live ci-dessous.

Horodatages

Vous pouvez cliquer sur ces horodatages pour parcourir la vidéo.

  • 11:24 # 10: Modification de l’URL de connexion WordPress.
  • 16h00 # 9: Ne pas utiliser de certificats SSL / TLS sur votre site WordPress.
  • 19h00 # 8: Utiliser «admin» comme nom d’utilisateur administratif WordPress.
  • 22h30 # 7: Utilisation de mots de passe faibles.
  • 24:05 # 6: Ne pas utiliser de pare-feu d’application Web comme Wordfence.
  • 41:18 # 5: Choix d’hébergement non sécurisés.
  • 44:50 # 4: Mauvaise gestion des accès des utilisateurs.
  • 48:13 # 3: Utilisation de plugins ou de thèmes annulés.
  • 49:54 # 2: Réutilisation des mots de passe à plusieurs endroits.
  • 51:28 Erreur n ° 1: ne pas mettre à jour les plugins, les thèmes ou le cœur de WordPress.

Erreur numéro 10: Modification de l’URL de connexion WordPress.

Certains utilisateurs de WordPress demandent à Wordfence d’ajouter la possibilité de modifier l’URL de connexion d’un site. Par exemple, au lieu de se connecter à WordPress à wp-login.php, un propriétaire de site peut utiliser des méthodes pour changer l’URL de connexion en quelque chose de complètement différent. Il y a une raison pour laquelle nous n’avons pas mis en œuvre la fonctionnalité dans Wordfence et pourquoi nous ne recommandons pas de masquer la connexion d’un site par mesure de sécurité. Cacher l’URL de connexion est une sécurité par l’obscurité, ce qui conduit souvent à un faux sentiment de sécurité.

Les URL de connexion WordPress peuvent facilement être détectées et contournées par la plupart des attaquants. Par conséquent, ce n’est pas la meilleure technique pour limiter les tentatives de connexion et les attaques potentielles. Un propriétaire de site avec une URL de connexion renommée estime que la connexion de son site est correctement protégée, mais il lui manque plusieurs mécanismes de contrôle de sécurité très importants.

Au lieu de changer l’URL de connexion de votre site, nous vous recommandons:

  • Activation des protections contre la force brute. Cela inclut le verrouillage des demandes de connexion excessives. La protection Brute Force est disponible dans les versions gratuite et premium de Wordfence en accédant à Options de pare-feu> Protection Brute Force. .
  • Utiliser des mots de passe forts. Cela aidera à empêcher le succès des attaques par force brute et par mot de passe. Veuillez consulter la section «Utilisation de mots de passe faibles» pour nos recommandations sur la création de mots de passe forts.
  • Ajout de la protection .htpasswd à votre zone wp-admin. Sur un serveur Web, .htpasswd utilise des fichiers plats pour stocker les noms d’utilisateur et les mots de passe pour l’authentification de base des utilisateurs HTTP. Ces protections sont en dehors de vos configurations WordPress PHP / MySQL et sécurisent l’accès aux fichiers que votre tableau de bord administratif utilise pour gérer votre site.
  • Utilisation de l’authentification à deux facteurs. Cela ajoute une deuxième couche de protection à votre formulaire de connexion. Si un attaquant parvient à accéder à un mot de passe compromis, il ne parviendra pas à se connecter en raison de la deuxième couche d’authentification. L’authentification à deux facteurs est disponible dans les versions gratuite et premium de Wordfence. Vous pouvez le trouver en accédant à la section Sécurité de la connexion de votre tableau de bord Wordfence. .

En prenant ces mesures pour améliorer la sécurité de connexion de votre site, vous vous attaquez aux véritables vecteurs d’attaque avec des protections solides.

Erreur numéro 9: ne pas utiliser de certificats SSL / TLS sur votre site WordPress.

Les certificats SSL / TLS sont souvent mal compris et souvent une étape manquée dans la sécurisation des sites WordPress. Cependant, ils sont essentiels pour protéger la confidentialité des données en transit entre les navigateurs des visiteurs de votre site et votre serveur Web. Ils ont également un impact sur les classements de recherche de votre site, car Google privilégie les sites utilisant SSL.

Qu’est-ce qu’un certificat SSL?

Les certificats SSL / TLS chiffrent le trafic entre les clients et les serveurs et envoient des données en toute sécurité via HTTPS. Un certificat SSL / TLS permet essentiellement de convertir tout le trafic envoyé sur Internet entre un client et votre serveur sous une forme non lisible en chiffrant, ou en «mélangeant», les données à l’aide d’une clé. Seul le serveur Web a une clé pour décrypter ou «désembrouiller» ces données et répondre à nouveau aux demandes avec les données chiffrées ou «brouillées» dans la réponse.

Un exemple simple de la raison pour laquelle vous avez besoin d’un certificat SSL / TLS est que WordPress envoie les informations d’identification en texte brut. Voici ce qu’un attaquant reniflant un réseau peut voir s’il n’y a pas de certificat SSL / TLS installé sur un site lorsque quelqu’un se connecte à un site WordPress:

Capture de paquets Wireshark montrant la connexion WordPress sans certificat SSL / TLS.

Avec ces données exposées, un attaquant peut prendre les informations de l’hôte, le nom d’utilisateur et le mot de passe, puis accéder à votre site WordPress. Pire encore, les sites qui acceptent les paiements peuvent envoyer des informations de paiement en texte brut, un format lisible par l’homme, en raison de l’absence de certificat SSL / TLS, ce qui permet aux attaquants de voler ces informations en transit. Les données des utilisateurs de votre site peuvent être considérablement affectées si vous n’utilisez pas de certificat SSL / TLS, et c’est pourquoi les moteurs de recherche favorisent les sites avec ces mesures de sécurité importantes en place.

Voici un exemple de ce qu’un attaquant reniflant un réseau peut voir si un certificat SSL est installé sur un site lorsque quelqu’un se connecte à un site WordPress:

Capture de paquets Wireshark montrant la même demande chiffrée à partir du certificat SSL / TLS.

Il est clairement illisible et impossible de déchiffrer exactement ce qui se passe dans les demandes.

Plusieurs fournisseurs d’hébergement proposent des solutions en un clic qui déploieront un certificat SSL / TLS gratuit sur votre site. Crypter est une organisation à but non lucratif dont la mission est de créer un site Web plus sécurisé et respectueux de la vie privée en favorisant l’adoption généralisée du HTTPS. Ils offrent des certificats SSL gratuits et faciles à utiliser afin que chaque site Web puisse facilement déployer HTTPS.

Erreur numéro 8: utiliser «admin» comme nom d’utilisateur administratif WordPress.

Une autre erreur courante que nous constatons assez souvent est que les propriétaires de sites WordPress utilisent toujours le nom d’utilisateur par défaut «admin» pour leur compte d’utilisateur administratif principal. Cela peut avoir un impact négatif sur votre site en raison des robots qui tentent de forcer brutalement un mot de passe pour l’utilisateur «admin» ou d’exploiter des vulnérabilités en utilisant «admin» comme nom d’utilisateur par défaut dans leurs scripts.

Nous avons vu par le passé certaines vulnérabilités qui reposaient sur le fait que le site WordPress avait le nom d’utilisateur par défaut du compte utilisateur défini sur «admin», comme la vulnérabilité d’escalade de privilèges découverte par WebARX dans le plugin «ThemeGrill Demo Importer». Le fait d’avoir un nom d’utilisateur autre que celui par défaut «admin» aurait protégé les utilisateurs de l’élévation des privilèges de cette vulnérabilité, rendant ainsi l’exploit moins attrayant pour les attaquants et réduisant l’impact si votre site devait être compromis.

Vous pouvez corriger cela de deux manières. La première consiste à créer un nouveau compte d’utilisateur administratif avec un nouveau nom d’utilisateur et à supprimer l’ancien compte «admin». Le nom d’utilisateur peut être quelque chose de complexe ou de relativement simple mais unique. Plus il est complexe, plus il peut être difficile pour les attaquants de découvrir le nom d’utilisateur. Si vous utilisez cette méthode pour modifier le nom d’utilisateur par défaut, vous devez vous assurer d’attribuer tout le contenu créé au nouvel utilisateur lorsque vous supprimez l’ancien compte d’administrateur.

La deuxième façon dont vous pouvez changer votre nom d’utilisateur consiste à accéder directement à votre base de données en utilisant phpMyAdmin à partir de votre compte d’hébergement, ou à un outil de gestion de base de données similaire, et à mettre à jour le nom d’utilisateur dans la table * _users. C’est le moyen le plus simple de modifier votre nom d’utilisateur administratif par défaut et ce que nous vous recommandons.

Modification du nom d’utilisateur par défaut de WordPress «admin» dans phpMyAdmin.

Quelle que soit la méthode que vous choisissez, comme pour tout changement, nous vous recommandons de faire une sauvegarde au préalable afin qu’en cas de problème pendant le processus, vous puissiez rapidement restaurer le site.

Une fois que vous avez changé votre nom d’utilisateur pour un nom d’utilisateur plus fort, accédez au pare-feu Wordfence et recherchez le paramètre “Bloquer immédiatement l’adresse IP des utilisateurs qui tentent de se connecter avec ces noms d’utilisateur” et collez “admin” dans ce champ. Cela fournira une autre couche de protection de connexion et bloquera automatiquement tous les robots qui tenteront d’attaquer votre site en utilisant le nom d’utilisateur par défaut «admin».

Erreur numéro 7: Utilisation de mots de passe faibles.

C’est l’une des erreurs les plus courantes sur le Web, et nous ne parlons pas seulement des sites WordPress. Les mots de passe forts sont la défense de première ligne contre les attaques par force brute et les comptes d’utilisateurs compromis, c’est donc l’une des choses les plus importantes à prendre en compte pour s’assurer que votre site est sécurisé.

Les mots de passe comme “password1234”, “qwerty”, “mydogsname” sont trop courants et trop simples. Il suffit de quelques secondes pour forcer ou deviner manuellement les mots de passe faibles, ce qui ne prend que quelques secondes pour accéder à votre compte.

Test de la force du mot de passe pour «ilovecats» en tant que mot de passe.

Nous vous recommandons vivement de prendre la mesure suivante pour arrêter d’utiliser des mots de passe faibles:

  • Créez des mots de passe complexes et forts. Vos mots de passe doivent comprendre plus de 10 caractères, avec au moins un chiffre, un symbole et un caractère majuscule. Plus le mot de passe est diversifié et complexe, plus il faudrait de temps à un attaquant pour deviner votre mot de passe et accéder à votre compte ou à votre site WordPress.
  • Utilisez un gestionnaire de mots de passe. Cela vous aidera à stocker les mots de passe complexes pour tous vos différents sites afin de ne pas réutiliser les mots de passe sur les sites. Un mot de passe compromis utilisé sur un site peut entraîner la compromission de plusieurs autres comptes de site si vous utilisez le même mot de passe, quelle que soit sa complexité.
  • Vérifiez votre mot de passe sur haveibeenpwnd.com. Have I been pwned est une excellente ressource pour surveiller les comptes en ligne qui ont connu des mots de passe compromis. Si un mot de passe est compromis pour un compte, vous devez le changer immédiatement.

Erreur numéro 6: ne pas utiliser de pare-feu d’application Web comme Wordfence.

Les pare-feu d’applications Web sont vitaux pour les projets open source comme WordPress, qui comptent des milliers de personnes qui contribuent aux thèmes et aux plugins du système de gestion de contenu le plus populaire au monde.

Qu’est-ce qu’un pare-feu d’application Web (WAF)?

Un WAF agit comme une passerelle, vérifiant les demandes des utilisateurs pour déterminer ce qui est autorisé et ce qui ne l’est pas. Chaque fois qu’une demande est jugée «autorisée», comme un utilisateur légitime se connecte sur un site, le pare-feu autorisera la demande à passer. Lorsqu’une demande est considérée comme «non autorisée» en raison d’une règle de pare-feu, le WAF bloquera cette demande.

Qu’est-ce qu’une règle de pare-feu?

Une règle de pare-feu est une instruction qui indique au pare-feu quand accepter ou rejeter une demande. Une règle de pare-feu très basique au format d’une instruction ressemblerait à ceci:

Si le corps de la requête contient
Source link